299.39K
Category: lawlaw

Институт правовой защиты персональных данных. Тема 6

1.

Тема 6 Институт правовой
защиты персональных
данных

2.

Штрафы крупнейших компаний за утечку
данных
Китайская компания по прокату автомобилей Didi
Global была оштрафована в июле 2022 г. китайским
регулятором кибербезопасности на 1,19 млрд. долл.США
штраф Amazon, выписанный в 2021 г. органами по
регулированию
конфиденциальности
данных
Люксембурга, составил 877 млн. долл.США
до 2021 г. крупнейшим штрафом за утечку данных был
штраф Equifax за 2019 г. Из-за неустраненных уязвимостей
пострадали почти 150 млн человек, что вынудило
американское агенство по отчетности по потребительским
кредитам выплатить не менее 575 млн. долл.США

3.

Законодательство в области обработки и
защиты ПДн
160-ФЗ от 19.12.2005 г. «О ратификации Конвенции Совета Европы о защите
физических лиц при автоматизированной обработке персональных данных»
(28.01.1981)
Директива Европейского Союза № 2002/58/ЕС «О приватности и
электронных коммуникациях» (12.07.2002)
Трудовой кодекс РФ от 30.12.2001 г. № 197-ФЗ - Глава 14 «Защита
персональных данных».
152-ФЗ от 27.07.2006 «О персональных данных»
519-ФЗ от 30.12.2020 «О внесении изменений в Федеральный закон «О
персональных данных», вступил в силу 01.03.2021
Указ Президента РФ от 30.05.2005 г. № 609 «Об утверждении Положения о
Персональных данных государственного гражданского служащего РФ и
ведении его личного дела»
Указ Президента РФ от 17.03.2008 № 351 «О мерах по обеспечению ИБ РФ
при
использовании
информационно-телекоммуникационных
сетей
международного информационного обмена»

4.

Законодательство в области обработки и
защиты ПДн
Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении
требований к защите ПДн при их обработке в ИСПДн»
Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении положения
об особенностях обработки ПДн, осуществляемой без использования средств
автоматизации»
Постановление Правительства РФ от 21.03.2012 года № 211 «Об утверждении
перечня мер, направленных на обеспечение выполнения обязанностей,
предусмотренных ФЗ «О ПДн» и принятыми в соответствии с ним НПА, операторами,
являющимися государственными или муниципальными органами»
Постановление Правительства РФ от 06.07.2008 № 512 «Об утверждении требований
к материальным носителям биометрических ПДн и технологиям хранения таких
данных вне ИСПДн»
Постановление Правительства РФ от 4.03.2010 г. N 125 «О перечне ПДн,
записываемых на электронные носители информации, содержащиеся в основных
документах, удостоверяющих личность гражданина РФ, по которым граждане РФ
осуществляют выезд из РФ и въезд в РФ»

5.

Законодательство в области обработки и
защиты ПДн - РКН
Приказ Роскомнадзора РФ от 5 сентября 2013 г. № 996 «Об утверждении требований
и методов по обезличиванию ПДн»
Приказ Роскомнадзора РФ от 30.05.2017 №94 «Об утверждении методических
рекомендаций по уведомлению уполномоченного органа о начале обработки ПДн и о
внесении изменений в ранее представленные сведения»
Приказ Роскомнадзора № 18 от 24.02.2021 «Об утверждении требований к
содержанию согласия на обработку ПДн, разрешенных субъектом персональных
данных для распространения»
Приказ Роскомнадзора от 27.10.2022 № 178 «Об утверждении Требований к оценке
вреда, который может быть причинен субъектам персональных данных в случае
нарушения Федерального закона «О персональных данных»
Приказ Роскомнадзора от 28.10.2022 г. № 179 "Об утверждении Требований к
подтверждению уничтожения персональных данных»
Приказ РКН от 28.10.2022 г. № 180 «Об утверждении форм уведомлений о
намерении осуществлять обработку ПДн, об изменении сведений, содержащихся в
уведомлении о намерении осуществлять обработку ПДн, о прекращении обработки
ПДн»
Приказ Роскомнадзора от 14.11.2022 г. № 187 "Об утверждении Порядка и условий
взаимодействия Федеральной службы по надзору в сфере связи, информационных
технологий и массовых коммуникаций с операторами в рамках ведения реестра учета
инцидентов в области персональных данных»

6.

Законодательство в области обработки и
защиты ПДн - ФСТЭК
Приказ
ФСТЭК России от 18.02.2013 № 21 «Об утверждении
Состава и содержания организационных и технических мер по
обеспечению безопасности ПДн при их обработке в ИСПДн»
Приказ ФСТЭК России от 11.02.2013 г. № 17 «Об утверждении
Требований о защите информации, не составляющей
государственную тайну, содержащейся в государственных
информационных системах»

7.

Законодательство в области обработки и
защиты ПДн - ФСБ
Приказ ФСБ России от 09.02.2005 № 66 «Об утверждении
Положения о разработке, производстве, реализации и
эксплуатации шифровальных (криптографических) средств
защиты информации. (Положение ПКЗ 200)»
Приказ ФСБ России от 10.07.2014 г. N 378 «Об утверждении
Состава и содержания организационных и технических мер по
обеспечению безопасности ПДн при их обработке в
информационных системах ПДн (ИСПДн) с использованием
средств криптографической защиты информации, необходимых
для выполнения установленных Правительством РФ требований
к защите ПДн для каждого из уровней защищенности».

8.

Законодательство в области обработки и
защиты ПДн - Минцифры
Приказ
Минцифры России от 12.05.2023 N 453 "О порядке обработки
биометрических персональных данных и векторов единой биометрической
системы в единой биометрической системе и в информационных системах
аккредитованных государственных органов, центрального банка Российской
Федерации в случае прохождения им аккредитации, организаций,
осуществляющих аутентификацию на основе биометрических персональных
данных физических лиц»

9.

Категории обрабатываемых персональных данных
№ 152-ФЗ от 27.07.2006
Персональные данные – любая информация, относящаяся к прямо или косвенно
определенному или определяемому физическому лицу (субъекту персональных
данных).
Общедоступные (ст. 8)
• ФИО, год и место рождения, адрес, паспортные данные, ИНН, СНИЛС, номер телефона,
семейное положение, сведения об образовании и квалификации, трудовая деятельность,
размер зарплаты и т.д.
Специальные (ст. 10, п. 1)
• расовая, национальная принадлежности, политические
философские убеждения, состояние здоровья и т.д.
взгляды,
религиозные
или
Биометрические (ст. 11, п. 1)
• Сведения, характеризующие физиологические и биологические особенности человека, на
основании которых можно установить его личность и которые используются оператором для
установления личности субъекта ПДн, кроме фото- и видеозаписей с массовых и публичных
мероприятий
Иные
• Остальные ПДн

10.

Права субъектов ПДн
Субъекты ПДн – лица, к которым относятся соответствующие данные, и их
наследники.
получение сведений об операторе, месте его нахождения, наличии у оператора
ПДн, относящихся к соответствующему субъекту ПДн, а также на ознакомление с
такими ПДн;
требовать от оператора уточнения своих ПДн, их блокирования или уничтожения в
случае, если ПДн являются неполными, устаревшими, недостоверными, незаконно
полученными или не являются необходимыми для заявленной цели обработки, а
также принимать предусмотренные законом меры по защите своих прав;
получение при обращении или при получении запроса информации, касающейся
обработки его ПДн, в т.ч. содержащей:
подтверждение факта обработки ПДн оператором, цель такой обработки;
способы обработки ПДн, применяемые оператором;
сведения о лицах, которые имеют доступ к ПДн или которым м.б. предоставлен такой
доступ;
перечень обрабатываемых ПДн и источник их получения;
сроки обработки ПДн, в т.ч. сроки их хранения
сведения о том, какие юридические последствия для субъекта ПДн может повлечь за
собой обработка ПДн

11.

Случаи ограничения прав субъектов ПДн
на доступ к его ПДн
обработка ПДн, в т.ч. ПДн, полученных в результате
оперативно-розыскных, контрразведывательной и
разведывательной деятельности, осуществляется в
целях обороны страны, безопасности государства и
охраны правопорядка;
обработка ПДн осуществляется органами для
задержания субъекта ПДН по подозрению в
совершении преступления, либо обвинении по
уголовному делу и т.п.
предоставление ПДн нарушает конституционные
права и свободы других лиц.

12.

Основные понятия
№ 152-ФЗ от 27.07.2006, ст. 3
Персональные данные,
сделанные общедоступными
субъектом персональных
данных
Персональные данные,
разрешенные субъектом
персональных данных для
распространения
152-ФЗ от 27.07.2006 «О персональных данных», ч. 9 ст. 9
«… требования к содержанию согласия на обработку ПДн,
разрешенных
субъектом
ПДн
для
распространения,
устанавливаются уполномоченным органом по защите прав
субъектов персональных данных…»
152-ФЗ от 27.07.2006 «О персональных данных», ч. 6 ст. 10.1
Согласие на обработку ПДн, разрешенных субъектом ПДн для
распространения, может быть предоставлено оператору:
1) непосредственно;
2) с использованием ИС РКН

13.

Права субъекта на размещение ПДн
ч. 2 ст. 10.1 «В случае раскрытия ПДн неопределенному кругу лиц самим субъектом ПДн без предоставления
оператору согласия, предусмотренного настоящей статьей, обязанность предоставить доказательства законности
последующего распространения или иной обработки таких ПДн лежит на каждом лице, осуществившем их
распространение или иную обработку». «… ПДн, которые человек самостоятельно разместил в открытом
доступе, в сети интернет, иные лица не могут без согласия этого человека распространять в дальнейшем»
ч. 3 ст. 10.1 - В случае, если ПДн оказались раскрытыми неопределенному кругу лиц вследствие
правонарушения, преступления или обстоятельств непреодолимой силы, обязанность предоставить
доказательства законности последующего распространения или иной обработки таких персональных данных
лежит на каждом лице, осуществившем их распространение или иную обработку.
ч. 12 ст. 10.1 - «Передача (распространение, предоставление, доступ) персональных данных, разрешенных
субъектом ПДн для распространения, должна быть прекращена в любое время по требованию субъекта ПДн.
Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию
(номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также
перечень ПДн, обработка которых подлежит прекращению. Указанные в данном требовании персональные
данные могут обрабатываться только оператором, которому оно направлено»
ч. 14 ст. 10.1 - «Субъект ПДн вправе обратиться с требованием прекратить передачу (распространение,
предоставление, доступ) своих персональных данных, ранее разрешенных субъектом ПДн для распространения,
к любому лицу, обрабатывающему его ПДн, в случае несоблюдения положений настоящей статьи или обратиться
с таким требованием в суд. Данное лицо обязано прекратить передачу (распространение, предоставление,
доступ) персональных данных в течение трех рабочих дней с момента получения требования субъекта ПДн или в
срок, указанный во вступившем в законную силу решении суда, а если такой срок в решении суда не указан, то в
течение трех рабочих дней с момента вступления решения суда в законную силу»

14.

Обязанности оператора
№ 152-ФЗ от 27.07.2006
Оператор - государственный орган, муниципальный орган, юридическое или
физическое лицо, самостоятельно или совместно с другими лицами организующие и
(или) осуществляющие обработку персональных данных, а также определяющие цели
обработки персональных данных, состав персональных данных, подлежащих
обработке, действия (операции), совершаемые с персональными данными.
Предоставление субъекту
информации об условиях обработки
его ПДн
Разъяснения о юридических
последствиях отказа предоставления
ПДн или согласия на их обработку
не от субъекта ПДн – данные
оператора, цель обработки, перечень
ПДн, пользователи ПДн, права
субъекта, источник получения ПДн
запись, систематизация, накопление,
хранение, уточнение, извлечение ПДн
с использованием баз данных РФ

15.

Требования к содержанию согласия на обработку ПДн,
разрешенных субъектом ПДн для распространения
Приказ Роскомнадзора № 18 от 24.02.2021
1) фамилия, имя, отчество (при наличии) субъекта персональных данных;
2) контактная информация;
3) сведения об операторе - организации, физическом лице; индивидуальном
предпринимателе;
4) сведения об информационных ресурсах оператора (адрес, состоящий из наименования
протокола (http или https), сервера (www), домена, имени каталога на сервере и имя файла
веб-страницы), посредством которых будут осуществляться предоставление доступа
неограниченному кругу лиц и иные действия с ПДн субъекта ПДн;
5) цель (цели) обработки персональных данных;
6) категории и перечень ПДн, на обработку которых дается согласие субъекта персональных
данных:
7) категории и перечень ПДн, для обработки которых субъект ПДн устанавливает условия и
запреты, а также перечень устанавливаемых условий и запретов (заполняется по желанию
субъекта ПДн);
8) условия, при которых полученные ПДн могут передаваться оператором, осуществляющим
обработку ПДн, только по его внутренней сети, обеспечивающей доступ к информации лишь
для строго определенных сотрудников, либо с использованием ИТКС, либо без передачи
полученных ПДн (по желанию);
9) срок действия согласия.

16.

Случаи обработки ПДн без согласия субъекта ПДн
обработка ПДн осуществляется на основании ФЗ, устанавливающего ее цель, условия
получения ПДн и круг субъектов, ПДн которых подлежат обработке, а также
определяющего полномочия оператора;
обработка ПДн осуществляется в целях исполнения договора, одной из сторон
является субъект ПДн;
обработка ПДн осуществляется для статистических или иных научных целей при
условии обязательного обезличивания ПДн;
обработка ПДн необходима для защиты жизни, здоровья или иных жизненно
важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;
обработка ПДн необходима для доставки почтовых отправлений организациями
почтовой связи, для осуществления операторами электросвязи расчетов с
пользователями услуг связи за оказанные услуги связи, а также для рассмотрения
претензий пользователей услугами связи.
обработка ПДн осуществляется в целях профессиональной деятельности журналиста
либо в целях научной, литературной или иной творческой деятельности при условии,
что при этом не нарушаются права и свободы субъекта ПДн.
осуществляется обработка ПДн, подлежащих опубликованию в соответствии с ФЗ, в
т.ч. ПДн лиц, замечающих государственные должности, должности государственной
гражданской службы, ПДн кандидатов на выборные государственные или
муниципальные должности.

17.

Обработка оператором ПДн без
уведомления РКН
работа государственных информационных систем
по охране безопасности и общественного порядка.
обработка персональных данных без каких-либо
средств автоматизации.
обработка персональных данных в случаях,
предусмотренных законодательством о транспортной
безопасности

18.

Группы целей по обработке ПДн
Цели сбора и обработки ПДн клиентов или
контрагентов
Цели сбора и обработки ПДн настоящих и бывших
сотрудников, членов их семьи
Цели сбора и обработки ПДн кандидатов на
замещение вакансий
Цели сбора и обработки ПДн пользователей сайта

19.

Группы целей по обработке ПДн
Цели сбора и обработки ПДн клиентов или
контрагентов
• Обеспечение соблюдения законодательства
• Принятие решения о заключении договоров, их
исполнения и расторжения
• Обеспечение пропускного и внутриобъектового режима
• Обеспечение привлечения подрядчиков
• Реализация прав и обязанностей компании
• Оказание услуг
• Связь с контрагентами

20.

Группы целей по обработке ПДн
Цели сбора и обработки ПДн текущих и бывших
работников организации
• Обеспечение соблюдения законодательства
• Обеспечение функций, полномочий, обязанностей согласно
законодательству
• Регулирование трудовых отношений
• Предоставление работникам и их семьям социальных
гарантий
• Обеспечение ропускного и внутриобъектового режимов
• Формирование справочных материалов для внутреннего
информационного обеспечения деятельности компании

21.

Группы целей по обработке ПДн
Цели сбора и обработки ПДн
кандидатов на замещение вакансий
• Содействие в трудоустройстве, принятие
решений о заключении трудовых договоров
• Обеспечение
пропускного
и
внутриобъектового режима
• Реализация прав и обязанностей ЮЛ

22.

Группы целей по обработке ПДн
Цели сбора и обработки ПДн
пользователей сайта
• Реализация прав и обязанностей ЮЛ
• Принятие
решения
о
заключении
договоров с клиентами или контрагентами
• Связь с представителями потенциальных
клиентов и контрагентов
• Улучшение качества услуг организации

23.

Действия с ПДн
№ 152-ФЗ от 27.07.2006
Обработка
Распростр
анение
Использов
ание
Блокирова
ние
Уничтожен
ие
Обезличив
ание
Трансгран
ичная
передача

24.

Основные понятия
№ 152-ФЗ от 27.07.2006
Обработка ПДн – действия (операции) с ПДн, включая сбор,
систематизацию, накопление, хранение, уточнение (обновление,
изменение), использование, распространение (в т.ч. передачу),
обезличивание, блокирование, уничтожение ПДн.
Распространение ПДн – действия, направленные на передачу ПДн
определенному кругу лиц (передача ПДн) или на ознакомление с
ПДн неограниченного круга лиц, в т.ч. обнародование ПДн в СМИ,
размещение в информационно-телекоммуникационных сетях или
предоставление доступа к ПДн каким—либо иным способом.
Использование ПДн – действия (операции) с ПДн, совершаемые
оператором в целях принятия решений или совершения иных
действий, порождающих юридические последствия в отношении
субъекта ПДн или других лиц либо иным образом затрагивающих
права и свободы субъекта ПДн или других лиц.

25.

Основные понятия
№ 152-ФЗ от 27.07.2006
Блокирование ПДн – временное прекращение сбора,
систематизации,
накопления,
использования,
распространения ПДн, в т.ч. их передачи.
Уничтожение ПДн – действия, в результате которых
невозможно
восстановить
содержание
ПДн
в
информационной системе ПДн или в результате которых
уничтожаются материальные носители ПДн.
Обезличивание ПДн – действия, в результате которых
невозможно
определить
принадлежность
ПДн
конкретному субъекту ПДн.
Трансграничная передача ПДн – передача ПДн
оператором через Государственную границу РФ органу
власти иностранного государства, физическому или
юридическому лицу иностранного государства.

26.

Принципы процесса обработки ПДн
Законность
Соответствие
целей
Достоверность,
достаточность
Соответствие
способа целям
обработки
Недопустимост
ь объединения

27.

Контролирующие органы
Роскомнадзор
• Федеральный орган исполнительной власти, уполномоченный в области защиты прав
субъектов ПДн
• контроль и надзор за соответствием обработки ПДн требованиям законодательства
ФСТЭК
• Федеральный орган исполнительной власти, уполномоченный в области
противодействия техническим разведкам и ТЗИ
• контроль и надзор за выполнением требований к обеспечению безопасности ПДн при
их обработке в ИСПДн, без использования СКЗИ
ФСБ
•Федеральный орган исполнительной власти, уполномоченный в области обеспечения
безопасности
•контроль и надзор за выполнением требований к обеспечению безопасности ПДн при
их обработке в ИСПДн, в т.ч. с использованием СКЗИ

28.

Права РКН
запрашивать
у физических или юридических лиц информацию, необходимую для
реализации своих полномочий, и безвозмездно получать такую информацию;
осуществлять проверку сведений, содержащихся в уведомлении об обработке ПДн, или
привлекать для осуществления такой проверки иные государственные органы в пределах их
полномочий;
требовать от оператора уточнения, блокирования или уничтожения недостоверных или
полученных незаконным путем ПДн;
принимать в установленном законодательством РФ порядке меры по приостановлению или
прекращению обработки ПДн, осуществляемой с нарушением требований ФЗ;
обращаться в суд с исковыми заявлениями в защиту прав субъектов ПДн и представлять
интересы субъектов ПДн в суде;
направлять заявление в орган, осуществляющий лицензирование деятельности оператора,
для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию
соответствующей лицензии, если условием лицензии на осуществление такой деятельности
является запрет на передачу ПДн третьим лицам без согласия в письменной форме субъекта
ПДн;
направлять в органы прокуратуры, другие правоохранительные органы материалы для
решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с
нарушением прав субъектов ПДн, в соответствии с подведомственностью;
вносить в Правительство РФ предложения о совершенствовании нормативно-правового
регулирования защиты прав субъектов ПДн;
привлекать к административной ответственности лиц, виновных в нарушении ФЗ

29.

Обязанности РКН
организовывать в соответствии с ФЗ защиту прав субъектов ПДн;
рассматривать жалобы и обращения граждан или юридических лиц по
вопросам, связанным с обработкой ПДн, а также принимать в пределах
своих полномочий решения по результатам рассмотрения указанных жалоб
и обращений;
вести реестр операторов
осуществлять меры, направленные на совершенствование защиты прав
субъектов ПДн;
принимать по представлению федерального органа исполнительной
власти, уполномоченного в области обеспечения безопасности, или
федерального органа исполнительной власти, уполномоченного в области
противодействия техническим разведкам и технической защиты
информации, меры по приостановлению или прекращению обработки ПДн;
Информировать государственные органы, а также субъектов ПДн по их
обращениям или запросам о положении дел в области защиты прав
субъектов ПДн;
выполнять иные предусмотренные законодательством РФ обязанности.

30.

Обязательные документы для начала
обработки ПДн
Положение о работе с ПДн
Положение о защите ПДн
Положение о порядке уничтожения ПДн
Политика обработки ПДн пользователей сайтов
Положение о внутреннем аудите работы с ПДн
Регламент о допуске работников к обработке ПДн
Приказ о назначении ответственного по работе с ПДн
Обязательство сотрудников о неразглашении
Уведомление о начале обработки данных
Согласия субъектов ПДн
уведомление об изменении сведений
уведомление о трансграничной передаче данных
уведомление о прекращении обработки данных
уведомление об уничтожении данных

31.

Перечень необходимых документов при
проведении плановых проверок РКН
Копия документа о назначении должностного
лица которое будет представлять интересы ЮЛ на
проверке;
Учредительные документы организации;
Копия уведомления о намерении осуществлять
работу с ПДн;
Список ПДн, собираемых и охраняемых
организацией;
Документ, определяющий ответственного за
орг.обработки ПДн;
Инструкции сотрудников, обрабатывают ПДн;
Положение об ответственности работников за
разглашение ПДн;
Положения об особенностях обработки ПДн
(обезличивании);
Положения, касающиеся ИБ (антивирусы,
пароли);
Соглашения о неразглашении ПДн;
Бланки согласия граждан на обработку их
персональных данных;
Журналы инструктажей сотрудников по вопросам
ИБ;
Перечень сотрудников, допущенных к обработке
ПДн;
Документ, определяющие места хранения
(размещения) ПДн;
Справка об обработке специальных и
биометрических категорий ПДн;
Справка об осуществлении трансграничной
передачи ПДн;
Порядок уничтожения ПДн;
Порядок передачи ПДн третьим лицам;
Типовая форма согласия на обработку ПДн;
Порядок учета обращений субъектов ПДн;
Перечень ИСПДн;
Документы, регламентирующие резервирование
данных в ИСПДн;
Перечень используемых средств защиты
информации;
Матрица доступа;
Модель угроз;
Документ, определяющий уровни защищенности
каждой ИСПДн;
Журнал учета машинных носителей ПДн;
Другие локальные акты оператора,
регламентирующие порядок и условия обработки
ПДн.

32.

Основания для внеплановых проверок
РКН
истек срок исполнения ранее выданного предписания об
устранении нарушения;
если в службу или ее территориальные органы поступило
обращение от граждан, юридических лиц, индивидуальных
предпринимателей, информация от органов государственной
власти, органов местного самоуправления, из средств массовой
информации;
по приказу руководителя Роскомнадзора или руководителя
территориального управления;
по факту выявления в результате систематического
наблюдения нарушений обязательных требований.

33.

Типовые нарушения в области ПДн
https://pd.rkn.gov.ru
Неполный перечень целей обработки ПДн
• Исполнение договоров, учет обучающихся, осуществление трудовых отношений
• Не указаны: организация пропускного режима, подбор персонала
Неполный перечень ПДн, обрабатываемых оператором
• Не указаны сведения о составе семьи, сведения о трудовом и общем стаже, сведения о
занимаемой должности, сведения о воинском учете, ИНН, СНИЛС и т.д.
Неполный перечень категорий субъектов ПДн
• Работники; физ. лица, состоящие в гражданско-правовых отношениях; обучающиеся
• Не указаны: соискатели, уволенные работники, родственники работников
Неполный перечень правовых оснований обработки ПДн
• ТК РФ, 273-ФЗ «Об образовании в РФ», НК РФ
• Не указаны: согласие на обработку ПДн; договор, заключенный с субъектом ПДн
Отсутствие адреса базы ПДн или неполный перечень адресов баз ПДн

34.

Возможные причины нарушений
требований РКН
Внутри
организации
не
проводится
аудит
деятельности оператора по обработке ПДн
Ответственным
за
заполнение
уведомления
назначается отраслевое подразделение (СП), которое
отражает информацию только о своей деятельности
Несоблюдение рекомендаций РКН.
Приказ РКН № 180 от 28.10.2022 г. «Об утверждении
форм уведомлений о намерении осуществлять
обработку
ПДн,
об
изменении
сведений,
содержащихся в уведомлении о намерении
осуществлять обработку ПДн, о прекращении
обработки ПДн»

35.

Ответственность
Административная
• ст. 13.11 КоАП РФ – до 18 млн. руб.
Уголовная
• ст. 137 УК РФ – до 5 лет лишения свободы
Гражданско-правовая
• ст. 15, 151 ГК РФ – возмещение убытков
Дисциплинарная
• ст. 81 ТК РФ – вплоть до увольнения

36.

Ответственность за размещение ПДн
ст. 13.11 КоАП
Для граждан
Предупреждение или штраф (3 тыс. – 5 тыс. руб)
Для должностных лиц
Предупреждение или штраф (10 тыс. – 20 тыс. руб)
Для юридических лиц
Предупреждение или штраф (15 тыс. – 75 тыс. руб)
Ужесточение ответственности
Для граждан
штраф (6 тыс. – 10 тыс. руб)
Для должностных лиц
штраф (20 тыс. – 40 тыс. руб)
Для юридических лиц
штраф (30 тыс. – 150 тыс. руб)
Ужесточение ответственности при повторных нарушениях
Для граждан
штраф (10 тыс. – 20 тыс. руб)
Для должностных лиц
штраф (40 тыс. – 100 тыс. руб)
Для ИП
штраф (100 тыс. – 300 тыс. руб)
Для юридических лиц
штраф (300 тыс. – 500 тыс. руб)

37.

Проверка ИСПДн ФСБ России
Методические
рекомендации
по
разработке
НПА,
определяющих угрозы безопасности ПДн, актуальные при
обработке ПДн в ИСПДн, эксплуатируемых при осуществлении
соответствующих видов деятельности (утв. ФСБ России
31.03.2015 № 149/7/2/6-432);
Об утверждении Состава и содержания организационных и
технических мер по ОБ ПДн при их обработке в ИСПДн с
использованием
средств
криптографической
защиты
информации, необходимых для выполнения установленных
ППр РФ требований к защите ПДн для каждого из уровней
защищенности (Приказ ФСБ России от 10.07.2014 N 378).

38.

ФСБ России проверяет:
Ведомственные документы по организации криптографической защиты
• положение об обращении с СКЗИ;
• инструкция пользователя СКЗИ;
• инструкция ответственного за обращение с СКЗИ;
• регламент обучения сотрудников правилам работы с СКЗИ;
• назначение ответственных лиц;
• порядок допуска работников к ИСПДн;
• приказы, утверждающие вышеуказанные документы
Модель угроз
Документы по поставке СКЗИ оператору. Акты ввода СКЗИ в эксплуатацию
• акты приема / передачи СКЗИ;
• договор на закупку /поставку СКЗИ;
• акты установки СКЗИ на рабочие места пользователей;
• лицензии, сертификаты, формуляры
Документация на СКЗИ
• лицензия на каждое СКЗИ (поставляется в комплекте);
• сертификаты (в открытом доступе, на сайте поставщика);
• документация по использованию и установке (в открытом доступе, на сайте поставщика)

39.

Проверка ИСПДн ФСТЭК России
Перечень мер, направленных на обеспечение выполнения обязанностей,
предусмотренных ФЗ "О ПДн" и принятыми в соответствии с ним НПА,
операторами, являющимися государственными или муниципальными
органами, утвержден постановлением Правительства РФ от 21.03.2012 г. №
211;
Требования к защите ПДн при их обработке в ИСПДн, утверждены
постановлением Правительства РФ от 1.11.2012 г. № 1119;
Об утверждении Состава и содержания организационных и технических
мер по обеспечению безопасности персональных данных при их обработке в
информационных системах персональных данных, утверждены приказом
ФСТЭК России от 18.02.2013 г. № 21;
Требования о ЗИ, не составляющей гос. тайну, содержащейся в ГИС,
утверждены приказом ФСТЭК России от 11.02.2013 г. № 17;
Методический документ. Методика оценки угроз безопасности
информации, утвержден ФСТЭК России 05.02.2021 г.
Информационное сообщение по вопросам ЗИ и ОБ ПДн при их обработке в
ИС в связи с изданием приказа ФСТЭК России №17 и №21 от 15 июля 2013 г.
№ 240/22/2637.

40.

Перечень мер
ПП от 21.03.2012 № 211
Ответственный за организацию обработки ПДн;
Документы:
- правила обработки персональных данных;
- правила рассмотрения запросов субъектов персональных данных или их представителей;
- правила осуществления внутреннего контроля соответствия обработки ПДн требованиям к защите ПДн;
- правила работы с обезличенными данными в случае обезличивания персональных данных;
- перечень информационных систем персональных данных;
- перечни персональных данных;
- перечень должностей, ответственных за проведение мероприятий по обезличиванию обрабатываемых ПДн;
- перечень должностей, замещение которых предусматривает обработку ПДн либо доступ к ПДн;
- должностной регламент (должностные обязанности) или ДИ ответственного за организацию обработки ПДн;
- типовое обязательство служащего, непосредственно осуществляющего обработку ПДн;
- типовая форма согласия на обработку персональных данных;
- порядок доступа служащих в помещения, в которых ведется обработка персональных данных;
при эксплуатации ИСПДн оператор принимает меры по обеспечению безопасности ПДн при их обработке;
при обработке ПДн без использования средств автоматизации – требования ПП РФ от 15.09.2008 г. N 687;
в целях осуществления внутреннего контроля соответствия обработки ПДн требованиям организуют
проведение периодических проверок условий обработки ПДн;
осуществляют ознакомление служащих, непосредственно осуществляющих обработку ПДн, с положениями
законодательства РФ о ПДн, локальными актами по вопросам обработки ПДн и (или) организуют обучение
указанных служащих;
уведомляют РКН об обработке ПДн;
в случаях, установленных НПА РФ, в соответствии с требованиями и методами, установленными РКН,
осуществляют обезличивание ПДн, обрабатываемых в ИСПДн.

41.

Классификация ИСПДн
ПП РФ № 1119 от 1.11.2012
ИС, обрабатывающая
специальные категории
ПДн
ИС, обрабатывающая
биометрические ПДн
ИС, обрабатывающая
общедоступные ПДн
ИС, обрабатывающая
иные категории ПДн

42.

Актуальные угрозы безопасности ПДн
ПП РФ № 1119 от 1.11.2012
Угрозы 1 типа
• актуальны для ИС, если для нее в том числе актуальны угрозы,
связанные с наличием недокументированных (недекларированных)
возможностей в системном ПО, используемом в ИС
Угрозы 2 типа
• актуальны для ИС, если для нее в том числе актуальны угрозы,
связанные с наличием недокументированных (недекларированных)
возможностей в прикладном ПО, используемом в ИС.
Угрозы 3 типа
• актуальны для ИС, если для нее актуальны угрозы, не связанные с
наличием
недокументированных
(недекларированных)
возможностей в системном и прикладном ПО, используемом в ИС.

43.

Определение уровня защищенности
ПП РФ № 1119 от 1.11.2012
Тип
ИСПДн
ИСПДн-С
Категории
субъектов
Не сотрудники
сотрудники
ИСПДн-Б
Не сотрудники
сотрудники
ИСПДн-И
Не сотрудники
сотрудники
ИСПДн-О
Не сотрудники
сотрудники
Количество
субъектов
Тип актуальных угроз
1 тип
2 тип
3 тип
Более 100 тыс.
УЗ 1
УЗ 1
УЗ 2
Менее 100 тыс.
УЗ 1
УЗ 2
УЗ 3
Любое
Более 100 тыс.
УЗ 1
УЗ 1
УЗ 2
УЗ 2
УЗ 3
УЗ 3
Менее 100 тыс.
УЗ 1
УЗ 2
УЗ 3
Любое
Более 100 тыс.
УЗ 1
УЗ 1
УЗ 2
УЗ 2
УЗ 3
УЗ 3
Менее 100 тыс.
УЗ 1
УЗ 3
УЗ 4
Любое
Более 100 тыс.
УЗ 1
УЗ 2
УЗ 3
УЗ 2
УЗ 4
УЗ 4
Менее 100 тыс.
УЗ 2
УЗ 3
УЗ 4
Любое
УЗ 2
УЗ 3
УЗ 4

44.

Требования к ИСПДн
ПП РФ № 1119 от 1.11.2012
Требование
УЗ 1
УЗ 2
УЗ 3
УЗ 4
организация режима обеспечения безопасности помещений, в которых
размещена
ИС,
препятствующего
возможности
неконтролируемого
проникновения или пребывания в этих помещениях лиц, не имеющих права
доступа в эти помещения
+
+
+
+
обеспечение сохранности носителей ПДн
+
+
+
+
утверждение руководителем оператора документа, определяющего перечень
лиц, доступ которых к ПДн, обрабатываемым в ИС, необходим для
выполнения ими служебных (трудовых) обязанностей
+
+
+
+
использование СЗИ, прошедших процедуру оценки соответствия требованиям
законодательства РФ в области обеспечения безопасности информации, в
случае, когда применение таких средств необходимо для нейтрализации
актуальных угроз
+
+
+
+
назначено должностное лицо (работник), ответственное за обеспечение
безопасности персональных данных в информационной системе
+
+
+
доступ к содержанию электронного журнала сообщений был возможен
исключительно для должностных лиц (работников) оператора или
уполномоченного лица, которым сведения, содержащиеся в указанном
журнале, необходимы для выполнения служебных (трудовых) обязанностей
+
+
автоматическая регистрация в электронном журнале безопасности изменения
полномочий сотрудника оператора по доступу к ПДн, содержащимся в ИС
+
создание СП, ответственного за обеспечение безопасности ПДн в ИС, либо
возложение на одно из СП функций по обеспечению такой безопасности
+

45.

МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПДн
Приказ ФСТЭК 21
идентификация и
аутентификация
субъектов
доступа и
объектов доступа
управление
доступом
субъектов
доступа к
объектам доступа
Ограничение
программной
среды
защита
машинных
носителей
информации
регистрация
событий
безопасности
антивирусная
защита
обнаружение
(предотвращение
) вторжений
контроль
(анализ)
защищенности
ПДн
обеспечение
целостности
ИСПДн
Обеспечение
доступности ПДн
защита среды
виртуализации
защита
технических
средств
защита ИС, ее
средств, систем
связи и передачи
данных
выявление
инцидентов
управление
конфигурацией
ИС и системы
защиты ПДн

46.

Перечень необходимых документов при
проведении плановых проверок ФСТЭК
Копия документа о назначении должностного лица
которое будет представлять интересы юридического
лица на проверке;
Учредительные документы организации;
Копия уведомления о намерении осуществлять
работу с ПДн;
Список
ПДн,
собираемых
и
охраняемых
организацией;
Документ, определяющий отв. за организацию
обработки ПДн
Инструкции сотрудников, обрабатывают ПДн;
Положение об ответственности работников за
разглашение ПДн;
Положения об особенностях обработки ПДн
(обезличивании);
Положения, касающиеся ИБ (антивирусы, пароли);
Соглашения о неразглашении ПДн;
Бланки согласия граждан на обработку их
персональных данных;
Журналы инструктажей сотрудников по вопросам
ИБ;
Перечень сотрудников, допущенных к обработке
ПДн;
Документ, определяющие места хранения
(размещения ) ПДн;
Справка об обработке спец. и биометрических
категорий ПДн;
Справка об осуществлении трансграничной передачи
ПДн;
Порядок уничтожения ПДн;
Порядок передачи ПДн третьим лицам;
Типовая форма согласия на обработку ПДн;
Порядок учета обращений субъектов ПДн;
Перечень ИСПДн;
Документы, регламентирующие резервирование
данных в ИСПДн;
Перечень используемых средств защиты
информации;
Матрица доступа;
Модель угроз;
Документ, определяющий уровни защищенности
каждой ИСПДн;
Журнал учета машинных носителей ПДн;
Другие локальные акты оператора,
регламентирующие порядок и условия обработки ПДн.

47.

Кейс-задания по теме «Персональные данные»
Задача 1
В целях борьбы со злостными неплательщиками за
потребленную воду директор МУП «Водоканал»
решил опубликовать сведения о злостных должниках
в местной газете, чтобы припугнуть. Были
опубликованы фамилии должников, их адреса и
суммы задолженности.
Законны ли действия директора? Какие меры
ответственности могут быть предприняты?

48.

Кейс-задания по теме «Персональные данные»
Задача 2
Жительница многоквартирного дома обратилась в
Роскомнадзор с жалобой по поводу того, что доставка
квитанций по оплате жилищно-коммунальных услуг
(за газ, воду и электроэнергию) осуществляется не в
конвертах, и поэтому соседи легко могут увидеть всю
информацию из этих квитанций.
Имеются ли нарушения в этом деле? Каковы
возможные меры ответственности?

49.

Кейс-задания по теме «Персональные данные»
Задача 3
При приеме на работу отдел кадров университета стал
требовать от всех преподавателей представить
справку о судимости. Преподаватели возмутились,
считая, что это требование нарушает их право на
неприкосновенность частной жизни.
Законно ли такое требование? Может ли отдел
кадров потребовать сведения о членстве в партии?

50.

Кейс-задания по теме «Персональные данные»
Задача 4
При поступлении Ильина в Федеральную службу судебных
приставов от него потребовали предоставить сведения о
доходах и составе имущества его и членов его семьи,
медицинское заключение о состоянии здоровья, а также
сдать отпечатки пальцев. На это он ответил, что данное
требование нарушает его конституционное право на
личную и семейную тайну. На службу поступает он, а не
его родственники. Кроме того, закон гарантирует охрану
врачебной тайны. И вообще, он не преступник, чтобы
сдавать отпечатки пальцев.
Кто прав в данной ситуации? Кто понимается под
«членами семьи»?

51.

Кейс-задания по теме «Персональные данные»
Задача 5
В университете был издан приказ, по которому все
выплаты
стипендий
должны
осуществляться
исключительно путем безналичного перечисления на
банковские карточки студентов. Для этих целей
бухгалтерия обязуется предоставить коммерческому
банку все сведения о студентах, необходимые для
открытия им счетов.
Кто
согласуется
данных
приказ
с
законодательством о персональных данных?

52.

Кейс-задания по теме «Персональные данные»
Задача 6
Налоговая инспекция направила в Управление ЗАГС
официальный запрос с требованием предоставить в
течение 5 дней справку о родителях гражданина Н. в
связи с получением имущественного налогового
вычета по декларации. Управление ЗАГС уведомило
налоговый орган о невозможности предоставления
запрашиваемой информации, поскольку указанные
сведения относятся к категории ПДн. Налоговая
инспекция оштрафовала Управление ЗАГС за отказ в
предоставлении информации.
Кто прав в данной ситуации?

53.

Кейс-задания по теме «Персональные данные»
Задача 7
Отдел Управления Федеральной службы судебных
приставов решил внедрить новый метод борьбы со
злостными неплательщиками алиментов. Фотографии
должников с указанием их личных данных и сумм
задолженности стали размещать на обратной стороне
коробок для тортов в популярном среди горожан
кафе «Красный мак».
Как
согласуются
подобные
действия
с
законодательством о ПДн?
English     Русский Rules